在FreeBuf Insight上一篇《網(wǎng)絡(luò)安全創(chuàng)新企業(yè)Top 10》系列文章中，我們談到了Sophos。雖然在安全領(lǐng)域Sophos已經(jīng)算是個老牌子，而且聲名卓著，但在國內(nèi)的名字并不算響亮。這次FreeBuf Insight要嘗試解讀的，是近些年來在安全領(lǐng)域紅透半邊天的FireEye——火眼公司。

中間兩人是FireEye創(chuàng)始人Ashar Aziz與前任CEO David DeWalt

在此之前，我們還是不得不提到美國網(wǎng)絡(luò)安全市場調(diào)研公司Cybersecurity Ventures這一季的“網(wǎng)絡(luò)安全500強(qiáng)”榜單。FireEye曾經(jīng)連續(xù)稱霸此榜單好幾個季度，但在今年一季度的榜單中，F(xiàn)ireEye不僅沒能保住第一，還滑落至第九名——在這篇文章中，我們嘗試談一談其中的原因…

FireEye究竟做些什么？

一聊到FireEye，就必然要提APT攻擊（高級持續(xù)性威脅）和0day漏洞利用。在常規(guī)安全防護(hù)中，這兩類破壞是很難防御的。原因很簡單，0day漏洞就是產(chǎn)品原開發(fā)商尚未修復(fù)（甚至還不知道）的漏洞，攻擊者在拿到這類漏洞之后，搞破壞自然得心應(yīng)手，因?yàn)槎唐趦?nèi)連解決方案都沒有；而APT攻擊追求相當(dāng)?shù)碾[蔽性、針對性和長期性，以盜取數(shù)據(jù)為目標(biāo)，甚至不會對系統(tǒng)產(chǎn)生破壞——絕大部分遭遇APT攻擊的企業(yè)在相當(dāng)長期的時間內(nèi)，根本就不知道自己遭遇了APT攻擊。

比如說攻擊者向目標(biāo)發(fā)起一封極具針對性的釣魚郵件，企業(yè)打開了這封郵件中帶惡意代碼的附件，則攻擊者的攻擊行為開始逐步滲透。一般安全廠商反病毒或者反惡意郵件的方案是：通過特征碼比對來判斷附件是否存在問題。這類方案對于0day漏洞利用和極為復(fù)雜的APT攻擊，通常是沒什么效果的。

FireEye的核心就在于傳說中的MVX技術(shù)（Multi-Vector Virtual Execution）——這是一種“無特征碼”的技術(shù)。說簡單些，采用MVX技術(shù)的產(chǎn)品會將上例中的郵件附件，放到虛擬的“沙盒”中，然后觀察附件在這個虛擬環(huán)境中的行為。聽起來其實(shí)就是虛擬技術(shù)在安全領(lǐng)域的應(yīng)用，不過FireEye將這項(xiàng)技術(shù)做得更為精專。

比如說，F(xiàn)ireEye的產(chǎn)品能夠在虛擬機(jī)上復(fù)制客戶的網(wǎng)絡(luò)環(huán)境，據(jù)說連網(wǎng)絡(luò)中每臺設(shè)備運(yùn)行的軟件版本號都是一樣的，惡意軟件發(fā)起攻擊時，虛擬機(jī)可加快時鐘走時，在幾微秒的時間內(nèi)了解其連續(xù)數(shù)月的攻擊行為；VX引擎還可同時模擬多個系統(tǒng)環(huán)境（比如Windows、Office等），來同步判斷是否存在威脅。所以其產(chǎn)品效率是相當(dāng)高的。

Gartner曾經(jīng)對“Network Sandboxing”發(fā)布過一份指導(dǎo)文件，這份文件看起來差不多就是為FireEye量身打造的。其中提到的幾個點(diǎn)幾乎都是FireEye的長項(xiàng)，包括自動化檢測、本地/云都支持的檢測方式、沙盒系統(tǒng)/軟件豐富程度尤甚（比如支持蘋果的操作系統(tǒng)）、惡意程序很難識破其沙盒屬性（市場上的許多同類沙盒產(chǎn)品很容易被惡意程序繞過）、融合取證工具（FireEye的強(qiáng)項(xiàng)之一，可作為美國司法程序中的取證之用）。

FireEye的產(chǎn)品線非常清楚，包括NX、EX、FX、CM、HX、MX、AX等不同系列，針對網(wǎng)絡(luò)、電子郵件、端點(diǎn)、內(nèi)容（Content）、移動、分析、取證等多個方面進(jìn)行威脅防護(hù)。其中的絕大部分產(chǎn)品中都共享了上面提到的MVX引擎，比如說NX針對企業(yè)全網(wǎng)，通常放置在防火墻之后的位置；EX則針對電子郵件提供防護(hù)等。

說了這么多，不難理解MVX技術(shù)實(shí)際上就是FireEye得以抵御0day和APT攻擊的殺手锏，也是其在安全行業(yè)內(nèi)得以在這么短的時間內(nèi)，玩得如此風(fēng)生水起的根本原因。前兩年，F(xiàn)ireEye的APT檢測與防御產(chǎn)品，的確就是其收益主要來源，也是這家公司收獲這么多名聲的搖錢樹。

FireEye何以火熱？

FireEye公司于2004年在美國加州Milpitas成立，不過它真正進(jìn)入大眾視野大約是在2012年前后。其中的原因也并不復(fù)雜：FireEye興起的時間點(diǎn)，恰好是APT攻擊突然變猖獗的這兩年，這其實(shí)也很大程度表明FireEye的APT解決方案是相當(dāng)有效的。還有一些有名的攻擊分析（其中當(dāng)然少不了以“中國黑客”為賣點(diǎn)的報告）和投資事件，成為FireEye得以被大眾熟知的原因。

數(shù)據(jù)來自APTnotes，其樣本量相對較小

比如說2014年年末索尼影視娛樂遭遇黑客攻擊事件，F(xiàn)ireEye擺平。我們從明面上的消息來看，索尼當(dāng)時準(zhǔn)備公映電影《刺殺金正恩》，遭遇朝鮮黑客攻擊，企業(yè)內(nèi)部的大量敏感信息和數(shù)據(jù)隨之泄露。不管這次索尼被黑原因的說法有多少，總之索尼最后找了FireEye解決問題（實(shí)際上是FireEye收購沒多久的Mandiant）。

去年4月29日，F(xiàn)ireEye的MVX引擎和DTI云平臺（動態(tài)威脅情報——是FireEye系列產(chǎn)品間共享威脅情報的中心）獲得美國國土安全部SAFETY Act法案認(rèn)證。FireEye因此成為第一家得到國土安全部認(rèn)證授予的安全企業(yè)。這個認(rèn)證可不是隨便頒個證書，使用相關(guān)MVX和DTI產(chǎn)品的企業(yè)客戶，可免于一些訴訟：他們的用戶不能以公司技術(shù)無法抵御網(wǎng)絡(luò)恐怖襲擊為由進(jìn)行起訴。這話說得還真是繞啊，其實(shí)說白了，就是如果企業(yè)用了FireEye的技術(shù)，就擁有了一定的免責(zé)權(quán)——這算得上是政府的加冕！

2009年，一家名叫In-Q-Tel投資公司對FireEye發(fā)起投資。其實(shí)FireEye背后的金主可不少，但I(xiàn)n-Q-Tel的來頭實(shí)在不小。這家公司專為美國中央情報局提供風(fēng)險投資服務(wù)，尋找那些有助于維護(hù)美國國土安全利益的科技公司，進(jìn)行選擇性投資，支持美國政府發(fā)展情報獲取能力。傳說中情局每年為In-Q-Tel固定注資，而后者為前者交付情報方面的解決方案。雖然FireEye當(dāng)時還歡天喜地地對此宣傳了一把，但并未透露雙方的合作細(xì)節(jié)，可要獲得In-Q-Tel的青睞并不容易，從中也可瞥見FireEye有著怎樣的技術(shù)實(shí)力。

Gartner分析師2014年對FireEye曾做出這樣的評價：“FireEye Inc. is at the top of the list.”很多人可能會在國內(nèi)某些媒體的文章中看到，在Gartner傳說的魔力象限中，F(xiàn)ireEye位于頂端——這個說法就來自我們援引的這句話。不過這實(shí)際是個謠傳。FireEye從未進(jìn)入過Gartner的魔力象限，原因并不是Gartner看不上FireEye，而是Gartner還沒有針對FireEye所從事安全領(lǐng)域的魔力象限。

但“at the top of the list”的確是Gartner說的，也是相當(dāng)高的贊譽(yù)。這里的“list”是指Gartner的自適應(yīng)安全架構(gòu)（The Adaptive Security Architecture）——這個架構(gòu)也是相當(dāng)有名的，許多安全企業(yè)以此為圣經(jīng)，即預(yù)防、檢測、響應(yīng)、預(yù)測結(jié)構(gòu)。Gartner認(rèn)為，F(xiàn)ireEye在這個結(jié)構(gòu)中處于頂級位置。當(dāng)然這一點(diǎn)實(shí)際是在FireEye收購Mandiant之后達(dá)成的，另外其產(chǎn)品也加入融合傳統(tǒng)IPS的能力。

FireEye目前在全球近70個國家已經(jīng)擁有約4700名企業(yè)客戶，其中超過650家企業(yè)位列財富2000強(qiáng)（Forbes Global 2000）；或者說去年，50%的財富500強(qiáng)企業(yè)都在用FireEye的產(chǎn)品?？梢奆ireEye作為安全行業(yè)的香餑餑究竟有多吃香——還是那句話，F(xiàn)ireEye能夠很大程度解決0day和APT攻擊兩大難題，是其如此吃香的重要原因。而且這家公司的炫技能力出眾，每隔一段時間就曝光一些0day漏洞，這可是許多安全企業(yè)想玩都玩不來的。

FireEye有個大窟窿！

這么看來，F(xiàn)ireEye的發(fā)展不僅堪稱神速，而且根本沒有要把那些資歷較老的安全公司放在眼里的意思。其市場價值也基本說明了這一點(diǎn)：Cowboy Ventures先前提出了一個“獨(dú)角獸俱樂部（Unicorn Club）”。這個“俱樂部”的成員是近10年內(nèi)創(chuàng)辦、私募或公開市場估值超10億的美國軟件企業(yè)，財富雜志也在長期援引這份名單。下面這張圖是2013年的數(shù)據(jù)，當(dāng)時能夠進(jìn)入獨(dú)角獸俱樂部的公司，只占到風(fēng)投融資消費(fèi)類和企業(yè)軟件新創(chuàng)公司總數(shù)的0.07%，只有39家。一般平均每年僅出現(xiàn)4個“獨(dú)角獸”。

仔細(xì)看看，F(xiàn)ireEye在哪里：它當(dāng)時的估值可是超越Y(jié)elp、Dropbox、Instagram這些在消費(fèi)用戶市場中的大熱門，而且還比Palo Alto這樣的競爭對手牛掰一截，算是給安全行業(yè)賺足了臉面。

同年9月份，F(xiàn)ireEye正式上市，交易首日股價就大漲80%。隨后這家公司的股價又一路狂飆，2014年時從20美元漲到近100美元，市值一度超過130億美元?？墒侨绻谀阌嘘P(guān)注過納斯達(dá)克股市，應(yīng)該就知道FireEye現(xiàn)如今的股價徘徊在17美元左右——這市值蒸發(fā)速度真可謂相當(dāng)驚人，不是說好獨(dú)角獸、香餑餑、中情局和財富500強(qiáng)企業(yè)的寵兒嗎！問題出在哪兒？

我們追蹤FireEye公布的財報才發(fā)現(xiàn)一個非常讓人訝異的事實(shí)：FireEye每年都在虧損，而且虧損量連年遞增。尤其2012-2014財年，其虧損量持續(xù)以4倍速增長。2014財年，其虧損金額甚至比全年收益還要高。據(jù)說自2004年FireEye組建以來，這家公司基本一直是在虧損的。即便是2016財年第一財季，其虧損量仍然在同比擴(kuò)大。

這讓人非常好奇，是否有什么事情絆住了FireEye的腳步。比如說花大筆資金進(jìn)行收購，或者IPO募股上市都可能對最終的利潤造成影響。問題是，這些年單純從量來看，F(xiàn)ireEye的虧損是持續(xù)加速的。我們稍稍研究了FireEye新財年第一季度的財報，發(fā)現(xiàn)這家公司的確是難以抑制運(yùn)營支出，從研發(fā)費(fèi)用、銷售與市場投入，還有管理費(fèi)用各方面來看都是燒錢神速。

不僅如此，公司的運(yùn)營現(xiàn)金流也不夠穩(wěn)定，2016財年第一財季其運(yùn)營現(xiàn)金流為-2250萬美元——這個數(shù)字和最近FireEye剛剛收購iSight和Invotas是有關(guān)系的，但實(shí)際上去年同期的現(xiàn)金流也是負(fù)值。這表明，F(xiàn)ireEye已經(jīng)開始依賴二次股票發(fā)行和可轉(zhuǎn)換債券來籌錢了。

這家公司的收益雖然仍在持續(xù)增長，但已經(jīng)出現(xiàn)放緩的跡象。許多市場分析公司已經(jīng)開始質(zhì)疑FireEye的業(yè)務(wù)可行性，伴隨收益增長的自然放緩，加上企業(yè)各項(xiàng)費(fèi)用居高不下，F(xiàn)ireEye處于動蕩期，要實(shí)現(xiàn)止損將面臨更多的困難。

2014年NSS Labs的BDS安全價值圖，和Gartner魔力象限有些相似，具體到產(chǎn)品

從現(xiàn)實(shí)意義來談，F(xiàn)ireEye其實(shí)也面臨很多問題。比如說MVX技術(shù)出現(xiàn)了這么久，本身正面臨越來越多的挑戰(zhàn)，不僅是惡意程序變得更強(qiáng)悍，還有谷歌Project Zero這類安全小組喜歡揭露FireEye產(chǎn)品的漏洞（傳說中的666）。

另外競爭對手也開始搞沙箱技術(shù)，非常典型的例子如Norman Shark，這家公司也專注于APT防御，已經(jīng)于2014年被Blue Coat收購，而Blue Coat上個月則由賽門鐵克宣布收購；思科也在積極進(jìn)行收購工作，不管是Soucefire，還是ThreatGRID，似乎都已經(jīng)在業(yè)績中產(chǎn)生了比較積極的影響。這些對FireEye而言都是莫大的威脅。雖然像Norman Shark這種企業(yè)現(xiàn)在還完全不是FireEye的對手，但以母公司安全巨擘的手筆和市場布局策略，未來誰也說不定。

FireEye面臨一波轉(zhuǎn)型

上面談到FireEye企業(yè)內(nèi)部面臨動蕩，其實(shí)從企業(yè)高層的情況來看也的確如此。去年7月份，大概是因?yàn)楣緹X速度太快，公司CFO Michael Sheridan卸任。上個月公司CEO Dave DeWalt也宣布辭職，新上任的CEO是Kevin Mandia。這個人實(shí)際上是FireEye在2014年收購的Mandiant公司的創(chuàng)始人。

FireEye現(xiàn)任CEO Kevin Mandia

其實(shí)在FireEye短短十幾年歷史上的這3名CEO，最近剛上任的Mandia是最有故事可講的。他以前曾是美國五角大樓第七通信部計算機(jī)安全官員，后來又以特工身份加入美國空軍特別調(diào)查辦公室，企業(yè)領(lǐng)域他還曾效力于洛克希德馬?。ǎ。。┖蚆cAfee。他和Dave DeWalt之間也有關(guān)系，當(dāng)然這不是我們要談的重點(diǎn)，有興趣的可自行搜索。

他所創(chuàng)立的Mandiant公司在2014年的時候曾經(jīng)發(fā)布過一份全球知名長達(dá)60頁的報告，相關(guān)某61398部隊(duì)的，這里我們不便多談。不過由此可見Mandiant的特長亦在APT領(lǐng)域，他們擁有先進(jìn)端點(diǎn)安全產(chǎn)品和安全應(yīng)急響應(yīng)管理解決方案，其亮點(diǎn)亦在于對威脅情報的掌握和預(yù)知。

FireEye當(dāng)時宣布以10億美元收購Mandiant，這個價格對FireEye這種虧損為常態(tài)的企業(yè)而言絕對是天價。不過這次收購當(dāng)屬對FireEye原有殺手锏的加成和補(bǔ)足，加成是對威脅情報的加成，補(bǔ)足部分主要表現(xiàn)在安全應(yīng)急響應(yīng)/事件處理和咨詢服務(wù)，這一直是Mandiant的特長。

今年年初FireEye以2億美元收購iSight差不多也是對現(xiàn)有能力進(jìn)行強(qiáng)化，iSight的強(qiáng)項(xiàng)同樣在威脅情報方面，比如黑客團(tuán)伙情報、他們的攻擊工具販?zhǔn)叟c交易地點(diǎn)、用什么樣的基礎(chǔ)設(shè)施、被盜數(shù)據(jù)傳送目標(biāo)地址等。我們先前的分析文章也曾經(jīng)嘗試從威脅情報的角度談過FireEye的轉(zhuǎn)變。

2月份，F(xiàn)ireEye又收購一家名為Invotas的企業(yè)——用FireEye自己的話來說，這家公司是安全整合與自動化提供商（orchestration and automation provider）。有了Invotas，“FireEye將提供全球最出色的安全整合能力，這將成為FireEye全球威脅管理平臺的一部分。這有助于FireEye將安全產(chǎn)品、威脅情報和事件響應(yīng)元素統(tǒng)一到一個平臺中，讓企業(yè)通過自動化，更迅速地對攻擊做出響應(yīng)。”

我們從FireEye今年2月份發(fā)布的新聞稿可見，這3次收購動作的意義在于，“MVX技術(shù)，加上Mandiant咨詢服務(wù)的整合，以及iSIGHT威脅情報網(wǎng)絡(luò)”，搭配“Invotas的安全整合能力”，“為企業(yè)應(yīng)對高級網(wǎng)絡(luò)攻擊，滿足了關(guān)鍵需求”。說到底，這幾次收購都是對原有技能的強(qiáng)化，大約也是為了拉大和其他APT防御安全企業(yè)的差距。

雖然這三次收購對FireEye的原有業(yè)務(wù)，和產(chǎn)品的全面布局都有積極意義，但很難看出這其中有多大的轉(zhuǎn)型，或者說對企業(yè)扭虧為盈能做出多大貢獻(xiàn)。不過我們?nèi)匀豢蓮呢攬笕胧?，來預(yù)見FireEye的未來。

從FireEye自己劃分的業(yè)務(wù)組成來看，這兩年各業(yè)務(wù)的收益占比正在發(fā)生變化。其中純粹的產(chǎn)品收益（Product Revenue）所占比例正在穩(wěn)步下滑，這里所謂的產(chǎn)品收益其實(shí)也就是FireEye具體的硬件設(shè)備；而產(chǎn)品訂閱（Product Subscriptions）則正在大比例上升。

所謂的產(chǎn)品訂閱，包括FireEye-as-a-Service、威脅情報、云電子郵件（ETP）。其中的FireEye-as-a-Service很早之前就已經(jīng)是FireEye的重頭戲了，這是個按需支付安全服務(wù)，技術(shù)人員會7 x 24小時監(jiān)控你的FireEye系統(tǒng)，發(fā)現(xiàn)威脅就直接為你做響應(yīng)。這實(shí)際上也就是當(dāng)前SaaS模式的一種體現(xiàn)，印證了當(dāng)前安全企業(yè)的發(fā)展思路：用服務(wù)來賺錢。至于威脅情報，看來iSIGHT和Mandiant的錢的確沒有白花。

于此，從產(chǎn)品到服務(wù)就是這波轉(zhuǎn)型的本質(zhì)，雖然說得很大流，但再度反觀FireEye對三家企業(yè)的收購，實(shí)際上也是在積極地促成這種變化，并且這種變化已經(jīng)變得越來越徹底——畢竟FireEye的客戶單從數(shù)量來看并不會非常多，賣服務(wù)才是持續(xù)賺錢的方案。

雖然Q1收購了Invotas和iSIGHT，但運(yùn)營支出占收益的比例仍同比收窄（不過這個數(shù)據(jù)為non-GAAP）

至于FireEye將來究竟能不能賺錢，能否扭轉(zhuǎn)市場分析機(jī)構(gòu)對其所持的懷疑態(tài)度，至少從目前FireEye的虧損率來看是在逐步收窄的——似乎FireEye當(dāng)前的高層也是在努力控制運(yùn)營支出，只不過短期內(nèi)還無法扭轉(zhuǎn)虧損局面。

如今針對FireEye的唱衰之聲已此起彼伏，高層震蕩、收購行為是否有效和盈利能力遭質(zhì)疑、對手虎視眈眈就是FireEye面臨的現(xiàn)狀。FireEye雖然是含著金湯匙出生的，現(xiàn)在也不得不努力一把了。